Daha önce açıklanmayan saldırıya bağlı Github eylem uzlaşması

   Mart 20, 2025  Posted in CyberSecurityDive


Dalış Kılavuzu:

  • Güvenlik araştırmacılarına ve federal yetkililere göre, 23.000’den fazla depo güvenliğini tehdit eden GitHub eylem tedarik zinciri uzlaşması, geçen hafta ikinci bir kuruluşa karşı daha önce açıklanmayan bir saldırıyla bağlantılı görünmektedir.
  • TJ-Actions/Değiştirilen dosyaların daha önce açıklanan uzlaşması, 11 Mart’ta ReviewDog/Action-Setup/V1’e karşı saldırı ile ilişkili gibi görünmektedir. CVE-2025-30154. TJ-Actionlar/Değiştirilen Dosyalar Uzlaşma, CVE-2025-3006614-15 Mart arasında gerçekleşti ve sırların sızdırılmasına yol açtı, Siber Güvenlik ve Altyapı Güvenlik Ajansı.
  • CISA, bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-30066 ekledi ve kuruluşlardan 7/24 operasyon merkezine herhangi bir anormal etkinlik veya onaylanmış olay bildirmelerini istedi.

Dalış içgörü:

TJ-Actions/Değişen Dosyalar Olayı, son zamanlarda, sürdürücü tarafından kullanılan @TJ-Action-bot hesabına bağlı olan kişisel erişim belirtecinin uzlaşmasına kadar izlendi. Blog yazısı. Sonuç olarak, Step Security’ye göre, kötü niyetli bir Python betiği, koşucu dünya sürecinden sürekli entegrasyon/sürekli teslimat sırlarını dökmeye başladı.

Endor Labs’tan araştırmacılar dedi ki Yaklaşık 218 depo sızdı TJ aksiyonları/değiştirilen dosyalarla bağlantılıdır. Bu sırların çoğu, genellikle bir iş akışının tamamlanmasından sonra sona eren Github_tokens’ti.

ReviewDog/Action-Setup/V1’in uzlaşması sonra keşfedildi güvenlik araştırmacısı Adnan Khan, Wiz’den X ve araştırmacılar hakkında bilgi yayınladı V1 etiketinin tehlikeye atıldığını fark etti.

Wiz’in sözcüsüne göre, ReviewDog/Action-Setup/V1 olayının kapsamının TJ-Actions/Dosya Dosya Uzlaşmasından çok daha küçük olduğuna inanılıyor. ReviewDog/Action-Setup/V1 olayı sadece iki saat sürdü ve daha büyük saldırıda yaklaşık 22 saat ve 14.000 depo ile karşılaştırıldığında yaklaşık 1.500 depodan etkiledi.

GitHub, kullanıcılara tehlikeye girip girmediklerini belirlemeleri için rehberlik sağladı ve Sertleştirme önlemleri eklemek için gelecekte böyle bir saldırıyı önlemek için.

Organizasyonlar 14-15 Mart arasında yapılan iş akışlarını inceleyin ve herhangi bir hassas bilgi açıklanmışsa sırları iptal edin ve döndürün.

Palo Alto Networks’ten araştırmacılar, uzun vadeli güvenlik için kuruluşların Sıkı boru hattı tabanlı erişim kontrolleri uygulayın.



Source link